AMENDEMENT

Compléter l’article par un alinéa ainsi rédigé :

Ce décret fixe également un calendrier d'application progressif et différencié des mesures de contrôles en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.

Pour une approche progressive et différenciée dans la mise en conformité : calendrier d'application des mesures de contrôles (et donc des sanctions)

Le projet de loi ne prévoit pas de date limite de mise en conformité (même si le délai de 3 ans semble faire consensus). Il ne prévoit pas non de date pour l'application des contrôles et donc des sanctions potentielles. L’ANSSI a d'ailleurs indiqué qu'elle laisserait le temps aux entités de se mettre en conformité avant d’engager les procédures de contrôle et de sanction.

La mise en œuvre de la directive NIS2 doit permettre une certaine souplesse dans son application pour permettre aux entités nouvellement concernées d'organiser leur montée en compétences et de renforcer progressivement leurs dispositifs de sécurité, sans risquer des pénalités immédiates.
Cette souplesse sur le calendrier permettra ainsi aux collectivités de s'organiser et d’éviter de recourir systématique à des prestataires extérieurs spécialisés supplémentaires et les coûts induits.

Les nouvelles exigences pourront aussi être hiérarchisées en fonction de leur niveau de priorité et en tenant compte du niveau d’avancement de la préparation des structures.

Pour une bonne lisibilité quant à l'application des nouvelles exigences, notre amendement propose d'intégrer une certaine progressivité dans la mise en conformité. Il prévoit à cet effet que le décret d'application prévu à l'article 30, fixe un calendrier d'application échelonnée et différenciée des mesures de contrôle en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.